工业互联网网络安全情况通报（2024年第5期）

一、工业互联网安全监测情况

2024年5月，经监测发现网络攻击事件共50.16万次，环比上升17%，共289家工业企业遭受网络攻击。截至5月末，监测联网工业企业3210家，其中重点工业企业540家。

从网络攻击类型方面看，网络嗅探占比最大，共37.96万次，环比上升8.4%，占网络攻击总数的75.7%。木马后门事件数量排名第二，占网络攻击总数的1.2%，环比下降50.3%；异常流量事件数量增幅最大，环比上升49.2%。

从网络攻击来源方面看，由境外IP发起的网络攻击44.1万次，占网络攻击总量的87.9%，以美国、英国和德国等国家居多。其中源自美国的最多，发起网络攻击29.76万次，占境外网络攻击总数的67.5%。

二、工业互联网网络安全分析

（一）非法外联分析

2024年5月，监测发现重点工业企业非法外联事件1118次，占重点工业企业网络攻击总数的0.5%，环比下降65.9%。

对非法外联事件进行分析，外联通信次数前三的恶意IP/域名分别为：fget-career.com、178.128.242.134和astatic.okx.com，威胁类型均为恶意程序远控端，主动外联存在网络安全风险，疑似感染木马后门，建议企业根据威胁通报将恶意IP在网络出口拦截通信，及时对内网主机进行病毒查杀。

（二）木马后门分析

2024年5月，监测发现重点工业企业遭受的木马后门攻击数共4843次，占重点工业企业网络攻击总数的2.1%，环比下降53.4%。活跃的木马后门主要为Sality backdoor和Ramnit worm，木马后门危害较大，涉及到的工业企业应高度重视，积极整改处置。

（三）挖矿事件分析

2024年5月，监测发现重点工业企业挖矿事件数共1415次，占重点工业企业网络攻击总数的0.6%，环比下降15.2%。对挖矿事件分析发现，通信次数最多的矿池IP为13.248.169.48。挖矿事件是主机被渗透成功获取服务器权限后，植入挖矿木马，造成计算资源和电力资源的大量消耗，同时加大企业数据泄露风险，企业应高度重视，及时整改处置。

三、重点工业企业网络安全通报

省通信管理局开展工业互联网安全威胁监测与通报，指导督促工业企业整改修复网络安全威胁。2024年5月，向9家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1：贵阳某科技有限公司存在信息泄露漏洞

2024年5月，工业互联网安全漏洞检测发现贵阳某科技有限公司WEB系统（http://222.*.*.3:9980/dnn）存在敏感信息泄露，可以通过访问 /public 和 /explore 目录在未登录的情况下访问公开的项目，项目源代码配置文件中存在账户敏感信息。

建议企业禁止/public 和 /explore 目录中项目公开访问，项目权限默认应设成Private。

案例2：贵州某印务有限公司感染挖矿木马

2024年5月，监测发现贵州某印务有限公司IP（117.*.*.208）遭受网络攻击感染挖矿木马，存在与恶意IP：76.223.54.146、13.248.169.48、178.128.242.134和恶意域名：junk.soquare.com、loop.sawmilliner.com的通信流量，从流量特征识别出挖矿行为，挖矿客户端软件为XMRig/2.8.3 (Windows NT 6.1; Win64; x64)，感染挖矿木马的主机为windows操作系统。

建议企业立即核查企业局域网中与矿池IP通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门、异常进程、服务、系统账号和计划任务等。